我们希望使用基于声明的身份验证创建一个MVC web应用程序,期望角色作为声明之一。我们希望使用Azure访问控制服务联合身份验证提供程序来管理此联合。身份验证提供商之一是我们的Azure AD。
问题是Azure AD似乎无法生成角色(甚至组)声明。在Azure AD中管理组或角色访问并由Azure访问控制服务提供角色声明的适当方法是什么。
谢谢。
编辑:
之前的一条评论询问了详细信息:我们希望使用第三方的active directory向他们提供对我们云应用程序的访问(以简化他们的用户管理)。我们的应用程序对第三方可以配置的信息有几个级别的访问权限。我们希望他们能在广告中做到这一点(根据我们的指示)。小组似乎是显而易见的选择,但如果有另一种方法可行,只要我们能提供指导,它就会奏效。
我们希望我们的应用程序能够获得用户访问级别的声明。如果我们只有一个合作伙伴在使用Azure AD,我们可以针对该端点使用图形API,但随着时间的推移,多个合作伙伴会发生变化,我们希望将它们联合起来,这样我们的应用程序只需信任联合服务器。我们假设我们需要Azure ACS来管理联盟。
AAD确实支持角色/组,您可以从Azure门户管理它们。
然而,这些并没有在"罐装"索赔中通过。
您需要使用Graph API,然后转换它们,例如Windows Azure Active Directory:将组成员身份转换为角色声明。
更新:
ACS需要与之联合。你不能把客户的广告挂到ACS上——你需要在他们的广告上加上类似ADFS的东西。
我假设是你的云应用程序。在Azure中运行?
然后制作你的应用程序。多租户。如果你的客户有自己的Azure租户,这是可行的。您只需要将Graph API代码添加到您的应用程序中。不需要ACS。
然后,您的客户运行DirSync。这使他们的Azure租户保持同步。他们的AD变化。
因此有两种选择:
-
客户没有Azure租户。他们安装ADFS并与AAD联合。
-
拥有Azure租户的客户使用DirSync。
好消息:我们最近在Azure AD中启用了应用程序角色和组声明功能。
在此处获取快速概述:http://blogs.technet.com/b/ad/archive/2014/12/18/azure-active-directory-now-with-group-claims-and-application-roles.aspx
深入了解应用程序角色的帖子和视频功能如下:http://www.dushyantgill.com/blog/2014/12/10/roles-based-access-control-in-cloud-applications-using-azure-ad/
深入了解应用程序角色的帖子和视频功能如下:http://www.dushyantgill.com/blog/2014/12/10/authorization-cloud-applications-using-ad-groups/
希望能有所帮助。
组不是最佳选择,因为它们在每个目录中都是唯一的。除非您让客户定义一组具有已知名称并与字符串匹配的组,即(即使组的名称相同,每个目录的对象ID也不同)。我实际上来自Azure AD团队,我们正在认真考虑发布一项功能,允许您在应用程序中定义客户可以分配给其用户的角色。请继续关注。与此同时,不幸的是,团体是唯一的出路。您必须使用Graph调用"GetMemberGroups"来检索分配给用户的组。
您发布此应用程序的时间表是什么?你可以直接联系我,看看我们是否可以处理你的场景。